Slammer

Windows用ワームの一つ。2003(平成15)年1月末頃から猛威をふるったワーム。SapphireやHelkernなどの別名もある。これは1434/udpを利用して異常な活動を示す。Slammerの意味は "刑務所"、"ぶた箱"。命名者は、ワーム作成者を絶対にぶた箱にぶち込んでやる!という気概で命名したものと思われる。

Slammerは、Microsoft SQL 2000 Serverや、Microsoft Desktop Engine 2000(MSDE 2000)の脆弱性を悪用して拡散するワームであり、世界中で大規模な通信障害を引き起こした。アジア地域では特に韓国で蔓延した。

具体的には、僅か376バイトのコード(ワーム本体)を送信する。そして、SQL Resolution Service中のサービス拒否(DoS)攻撃に対する脆弱性を突き、SQL Server 2000が実行されているコンピューターを感染させる。そしてそれと全く同じ内容のパケットは送信元のSQLサーバーへと送り返されるので、結果として2つのSQLサーバー間で無意味なパケットを繰り返し送受信しあい、ネットワークのトラフィックを増大させて正常な通信を妨げる。

Microsoft SQL 2000 Serverの脆弱性自体は2002(平成14)年7月から修正用パッチが提供されており、また正規ユーザーにも電子メールで連絡が行なわれている。そしてまた2003(平成15)年1月17日からはこの修正を含めたSQL Server 2000 Service Pack 3がリリースされ、同様に正規ユーザーには電子メールで連絡が行なわれている。パッチを当てると互換性に問題が生じるためパッチを当てないという選択をした場合があったとしても、例えば外部からの1434/udpを遮断する、そもそもSQL Serverの使用を中止する、など、問題回避の方法を検討する時間は充分にあったと思われる。

しかし、当のMicrosoftの社内ネットワークもこのワームに感染し、サービスの速度が低下するという被害を受けた。この事実は、無数に公開される(他の動作に影響を与えるかもしれない)セキュリティ対策パッチをひたすら当て続け、全てのコンピューターを最新状態に維持するのが、現実には困難なのではないかという疑問を投げかけることになった。そもそも自分でできないことを人に押し付けてられても困るのである。

アジア圏では特に韓国で蔓延し、ネットワークがパンクする騒ぎとなってしまった。韓国では外部にポートを開きっぱなしにしたり等セキュリティ意識が低かったことや、パッチやサービスパックを当てず、あるいは韓国で蔓延しているコピーソフトのためパッチ等を当てられずに使いつづけたりしたことが事件の大きな原因と見られる。

通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)